Google исправила в Chrome пять уязвимостей
Google выпустила обновления для своего браузера Chrome, исправляющие пять уязвимостей (три из них имеют высокий уровень опасности). Проблемы безопасности были обнаружены сторонними исследователями, получившими от Google вознаграждение на общую сумму в $20,337 тыс. Уязвимости позволяли удаленному злоумышленнику получить доступ к важным данным и выполнить произвольный код на целевой системе.
Две уязвимости с высоким уровнем опасности обнаружил польский ИБ-эксперт Мариуш Млынский (Mariusz Mlynski), которому компания выплатила $15,5 тыс. Уязвимости CVE-2016-1667 в DOM и CVE-2016-1668 в движке Blink V8 позволяли обойти политику единого происхождения. Третьей опасной уязвимостью является CVE-2016-1669 в движке V8. За сообщение о ней исследователь Чунву Хань (Choongwoo Han) получил от Google вознаграждение в размере $3 тыс. Эксплуатируя уязвимость, злоумышленник мог вызвать переполнение буфера и выполнить произвольный код.
За CVE-2016-1670, существующую из-за ошибки состояния операции, анонимному исследователю было выплачено $1,337 тыс. Уязвимость среднего уровня опасности CVE-2016-1671 существует из-за ошибки обхода каталога в файле схемы на Android и позволяет удаленному пользователю получить доступ к важным данным на системе. Обнаруживший ее исследователь Жанн Хорн (Jann Horn) получил $500.
Пользователям рекомендуется установить последнюю версию Chrome 50.0.2661.102 с сайта производителя.